I dati sono il nuovo petrolio di questo secolo. Compagnie come Amazon, Facebook e Google hanno eretto imperi al top della data economy. La Data Privacy è una branca della sicurezza che riguarda le modalità con cui sono gestiti i dati. Più specificatamente, come i dati sono raccolti e salvati, come sono condivisi con terze party e tutti gli aspetti normativi che riguardano il tema. Data privacy e Data security sono due facce della stessa medaglia. Anche i confini tra privacy e sicurezza dei dati si stanno assottigliando, in un'epoca in qui l'esplosione dei dati ha messo governi e aziende nell'obbligo di definire ciò che è lecito e accettabile e cosa no, mentre contemporaneamente devono proteggere dati e risorse. 

Sempre più imprese stanno percorrendo la strada verso la digitalizzazione. I dati archiviati in modo sicuro entro data center privati su server aziendali ai quali si accede da reti private protette da firewall aziendali sono ora migrate sul cloud pubblico. Secondo Synergy Research, le aziende spendono più per la migrazione dei dati sul cloud rispetto a quanto hanno speso per hardware e software del data center, ma questa tendenza continuerà ad inclinarsi a favore del cloud. E', questa, un'ottima opportunità per adottare il cloud ma, di contro, aumenta il rischio di perdita e fuoriuscita dei dati a causa di ridotte o insufficienti pratiche di sicurezza derivanti da deboli policy di archiviazione e accesso ai dati. 

C'è poi una crescente adizione di dispositivi mobile e app, c'è una miniera d'oro di opportunità per le aziende, che possono estrarre dati e generare analisi utili. Ad esempio, consideriamo lo scenario in cui un'azienda metta in download un'app di social media sul Play Store o sull'Apple Store. Mano a mano che gli utenti installano l'app sui propri dispositivi mobile, si possono generare dati dallo store e dai dispositivi sui quali l'app viene installata: questi dati sono utili a capire come viene usata l'app, quanto tempo vi trascorrono gli utenti, chi sono gli utenti e molti altri dati. Questi dati possono essere analizzati per generare informazioni estremamente utili per migliorare le funzionalità o aumentare la base di utenti. 

Proteggere l'integrità del dato e prevenire leak è divenuta ormai una sfida centrale per quelle aziende che raccolgono e archiviano i dati degli utenti e dei dipendenti. Ci sono, qui, due aspetti chiave da considerare. Primo, le aziende dovrebbero mettere in campo il massimo sforzo possibile per garantire che i dati sensibili degli utenti (informazioni come la carta di credito, le cartelle cliniche, la residenza, il conto corrente bancario ecc...) siano archiviati in formato criptato così da impedire che attaccanti interni o esterni possano accedere a tali dati. In secondo luogo, la conformità a normative come l'HIPAAA statunitense o il GDPR europeo prevede l'eliminazione delle cosiddette PII - personally identifiable information, così da garantire l'anonimato dei propri utenti. In caso di data breach o data leak, l'effettiva perdita di privacy degli utenti può essere minimizzata se i dati sono anonimizzati e crittografati. 

La prima cosa da fare è consapevolizzare la forza lavoro sull'importanza di una corretta gestione dei dati. I dipendenti devono essere formati ad adottare e mettere in pratica di policy sicure e ad utilizzare il giusto set di strumento per gestire i dati degli utenti. Infatti c'è una crescita esponenziale di figure come il Data Protection Officer, responsabile della privacy dei dati il cui compito è garantire che esistano policy e procedure specifiche, conformi alle normative vigenti. Anche in caso di eventi come un data breach deve essere previsto un piano di azione per contenere, identificare, indagare, mitigare, risolvere e prevenire che tali incidenti possano avvenire. Un altro importante aspetto è che è necessario garantire l'accesso ai dati solo al gruppo corretto di dipendenti, coloro cioè che hanno davvero bisogno di accedere alle informazioni per svolgere le proprie mansioni. Ad esempio, in una infrastruttura in cloud è possibile separare gli accessi di coloro che accedono ai tool di sicurezza e di coloro che utilizzano i tool per eseguire mansioni. Così, in caso di breach, la situazione può essere contenuta e limitata ad una porzione ristretta dell'infrastruttura. Questi sono tutti esempi di approcci che garantiscono data privacy e data protection.

Investire in soluzioni di data privacy che eseguono classificazioni automatizzate della sensibilità dei dati, che possono scansionare i data store aziendali in cerca di potenziali data leak, che possono eseguire monitoraggio e allerta in tempo reale...tutto questo è un'ottima scommessa! Stiamo vedendo come le aziende stanno sempre più spesso adottando la classificazione dei dati non solo per i dati che riguardano i clienti, ma anche per quelli dei dipendenti. In base al contenuto delle email, dei documenti, dei file, del codice sorgente, queste risorse sono classificate in termini di riservatezza, sensibilità e priorità. Registriamo anche un aumento dei tool per la privacy dei dati che scansionano i dati aziendali e forniscono report sullo stato degli stessi e sui rischi associati, con avvisi in tempo reale e possibili mitigazioni. Le aziende che offrono il BYOD ai propri dipendenti possono addirittura imporre l'uso di strumenti che consentano all'azienda di cancellare da remoto i dati aziendali in caso di violazione, smarrimento o furto del dispositivo. Inutile dire quindi quanto uno strumento di amministrazione remota simile renda estremamente facile la conformità alle normative di protezione privacy e dati. 

Il primo consiglio che mi sento di dare è quello di scegliere una soluzione antivirus che copra più tipologie di dispositivi: dagli smartphone ai laptop ai tablet. Questa è la forma più semplice e immediata di protezione del dispositivo e dei dati per gli utenti finali. Scegliere password solide e attivare l'autenticazione multi fattore sono altre valide soluzioni per la sicurezza dei dispositivi e dei dati dei dispositivi in cloud. Anche la gestione della privacy sui social è importante: pochi lo fanno, ma sarebbe molto utile verificare le impostazioni privacy e scegliere, ad esempio, di impedire il tracciamento del dispositivo o la cronologia delle ricerche per non incorrere nella brutta sorpresa di scoprire che dati sensibili sono finiti nelle mani di sconosciuti. Anche eseguire il backup dei dati e rimuoverli dai dispositivi non più in uso (programmi di data wiping) sono azioni che proteggono la data privacy. Ricordo però che, per quanto sia molto utile archiviare i dati ed eseguire il backup su servizi come OneDrive, DropBox o Google Cloud, non proteggerli con solide password e autenticazione multi fattore rende inutili gli sforzi messi in campo. Ci sono sul mercato antivirus di fascia alta che offrono il controllo della privacy come funzionalità integrata: gli utenti possono registrare le proprie email con i tool AV capaci di scansionare i portali pubblici in cerca di potenziali data breach. In caso sia riscontrata una violazione, questi strumenti AV offrono anche soluzioni per correggere e impedire in futuro data breach e data leak.